某厂商路由器摄像头设备漏洞挖掘

最近为了完成一门security的课程报告，拆了某厂商的一些路由器和摄像头设备，逆向分析挖到了一些漏洞，有栈溢出，堆溢出，和命令执行

我不太清楚这个厂商是如何处理漏洞的，但很多固件都停留在几年前没再更新了，安全考虑我这里暂时只分享一下路由器设备的漏洞（明确不再维护，互联网上也没有任何使用该固件的路由器），挖到的摄像头漏洞我就简单描述一下挖掘和利用的思路，后续有机会再分享细节。

路由器的固件版本是Vxx.xx.05.19，还有一个比这个低一点的版本，常见的CVE或者CNVD也基本上针对的是这个低版本的，这个稍微高点的19版本存在着一些相同或者特有的漏洞。

第一个漏洞是基于list参数的栈溢出 

第二个是基于devicename参数的命令执行

第三个是基于mac参数的堆溢出

在该厂商的某家用摄像头中找到三四种RCE的手段，实现RCE的手段很有意思，并不是常见的字符串拼接再带入命令执行的函数中，而是用其他的方式实现的，实现RCE的方式可以参考我的这篇僵尸网络接管的文章，手法一模一样（确定不是厂商留的后门？:-)）

在该厂商的某商用摄像头中也挖掘到一个RCE，这个漏洞的挖掘过程也有点意思，新的二进制文件代码特别复杂，我甚至都搞不清楚路由怎么设置的，但是通过和该厂商旧版本的一些漏洞代码做对比，我发现实现某个功能的代码还是使用的旧版的代码逻辑，依然存在RCE

原文始发于微信公众号（3072）：某厂商路由器摄像头设备漏洞挖掘